SMS-пароли признаны небезопасными в США: что говорят российские эксперты?

Согласно этому документу NIST использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет - пишет Xakep.ru. 

В частности, в документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2). 

Полностью данный параграф выглядит так: «Если верификация по внешнему каналу осуществляется посредством SMS-сообщения в публичной сети мобильной телефонной связи, верификатор должен убедиться, что используемый предварительно зарегистрированный телефонный номер действительно ассоциируется с мобильной сетью, а не с VoIP или иным программным сервисом. После возможна отправка SMS-сообщения на предварительно зарегистрированный телефонный номер. Изменение предварительно зарегистрированного телефонного номера не должно быть возможно без двухфакторной аутентификации в ходе изменения. Использование SMS-сообщений в аутентификации по внешнему каналу недопустимо, и не будет дозволяться в будущих версиях данного руководства». 

Основные опасения экспертов Национального института стандартов и технологий сводятся к тому, что номер телефона может быть привязан к VoIP-сервису, кроме того, злоумышленники могут попробовать убедить поставщика услуг в том, что номер телефона изменился, и подобные уловки нужно сделать невозможными. 

Хотя документ рекомендует производителям использовать в своих приложениях токены и криптографические идентификаторы, авторы поправок также отмечают, что смартфон или другое мобильное устройство всегда могут быть украдены, или могут временно находиться в руках другого человека" - говорится в документе NIST. 

Опасения и выводы NIST относительно небезопасности SMS OTP в полной мере разделяются и российскими специалистами. Так, Павел Есаков, зам. директора по продажам на финансовом рынке компании Computel так прокомментировал информационному порталу PLUSworld.ru выводы, содержащиеся в предварительной версии Digital Authentication Guideline: 

"Собственно, выводы и рекомендации специалистов NIST просто подтверждают тот факт, что с самого начала использования SMS для целей аутентификации эксперты предупреждали о том, что данный механизм изначально для аутентификации не предназначался и не может считаться полноценным фактором аутентификации. 

Механизмов компрометации SMS паролей существует достаточно много, и они уже были неоднократно использованы в основном для похищения денежных средств клиентов российских банков. Достаточно перечислить лишь несколько методов взлома SMS паролей: 

• Замена SIM карты с использованием поддельных документов 

• Использование уязвимостей в протоколе OSS-7 

• Переадресация вызовов у оператора мобильной связи 

• Ложные базовые станции 

• Специализированные троянские программы для смартфонов, перехватывающие SMS пароли 

Еще одним методом может считаться взлом шлюза между банком и оператором связи. 

То обстоятельство, что механизм SMS-паролей используется всеми банками, открывает для хакеров широкие перспективы. Очевидно, что написав один раз троян для смартфона, его можно использовать для атаки на все российские банки, при его (трояна) минимальной кастомизации. 

При этом можно предсказать, что первыми "под раздачу" будут попадать крупные банки – большая клиентская база последних позволяет мошенникам рассчитывать на весомый результат даже при небольших остатках на счетах клиентов. 

Справедливости ради, надо сказать, что наши банки уже начали борьбу с подменой SIM карт - перед отправкой SMS пароля проверяется IMSI клиента, и если он не совпадает с тем, что был зарегистрирован в базе данных банка, то отправка SMS пароля блокируется. 

Но у ряда операторов мобильной связи данная возможность отсутствует, и остается неясным, как поступать в этом случае, не говоря уже о том, что как будет работать этот механизм в роуминге - абсолютно неясно. 

Очевидно, что широкое использование SMS для целей аутентификации создает существенные риски, и регуляторы вынуждены принимать меры с тем, чтобы по возможности уменьшить масштабы бедствия".

Напомним, что журнал "ПЛАС" в 2014 г. подробно рассматривал риски SMS OTP в материале "Банковская отрасль на пороге выхода из «SMS-тупика»?" 

По материалам Xakep.ru, PLUSworld.ru